VPN搭建指南.docx

《VPN搭建指南.docx》由会员分享，可在线阅读，更多相关《VPN搭建指南.docx（16页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、Win2003 搭建 VPN 效劳器教程一、什么是 VPN?虚拟专用网VPN，Virtual Private Network是一种利用公共网络来构建的私人专用网络技术，不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠 ISPInternet 效劳供给商和其它NSP网络效劳供给商，在公用网络中建立专用的数据通信网络的技术。 在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。IETF 草案理解基于 IP 的 VPN 为：“使用 IP 机制仿真出一个私有的广域网“ 是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线

2、技术。所谓虚拟， 是指用户不再需要拥有实际的长途数据线路，而是使用 Internet 公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。二、VPN 的安全性目前 VPN 主要承受四项技术来保证安全，这四项技术分别是隧道技术Tunneling、加解密技术Encryption & Decryption、密钥治理技术Key Management、使用者与设备身份认证技术Authentication。1、隧道技术隧道技术是 VPN 的根本技术类似于点对点连接技术，它在公用网建立一条数据通道隧道，让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为 其次、三层隧

3、道协议。其次层隧道协议是先把各种网络协议封装到PPP 中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠其次层协议进展传输。其次层隧道协议有 L2F、PPTP、L2TP 等。L2TP 协议是目前 IETF 的标准，由IETF 融合 PPTP 与 L2F 而形成。第三层隧道协议是把各种网络协议直接装入隧道协 议中，形成的数据包依靠第三层协议进展传输。第三层隧道协议有VTP、IPSec 等。IPSecIP Security是由一组 RFC 文档组成，定义了一个系统来供给安全协议选择、安全算法，确定效劳所使用密钥等效劳，从而在IP 层供给安全保障。2、加解密技术加解密技术是数据通信中一

4、项较成熟的技术，VPN 可直接利用现有技术。3、密钥治理技术密钥治理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥治理技术又分为SKIP 与 ISAKMP/OAKLEY 两种。SKIP 主要是利用Diffie-Hellman 的演算法则，在网络上传输密钥；在ISAKMP 中，双方都有两把密钥，分别用于公用、私用。4、使用者与设备身份认证技术使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式，目前这方面做的比较成熟的有国内的深信福科技的VPN 解决方案。三、VPN 网络的可用性通过 VPN，企业可以以更低的本钱连接远程办事机构、出差人员以及业务合作伙伴关键

5、业务。虚拟网组成之后，远程用户只需拥有本地ISP 的上网权限，就可以访问企业内部资源，这对于流淌性大、分布广泛的企业来说很有意义，特别是当企业将 VPN 效劳延长到合作伙伴方时，便能极大地降低网络的简单性和维护费用。VPN 技术的消灭及成熟为企业实施ERP、财务软件、移动办公供给了最正确的解决方案。一方面，VPN 利用现有互联网，在互联网上开拓隧道，充分利用企业现有的上网条件，无需申请昂贵的DDN 专线，运营本钱低。另一方面，VPN 利用IPSEC 等加密技术，使在通道内传输的数据，有着高达 168 位的加密措施，充分保证了数据在VPN 通道内传输的安全性。四、VPN 网络的可治理性随着技术的

6、进步，各种 VPN 软硬件解决方案都包含了路由、防火墙、VPN 网关等三方面的功能，企业或政府通过购置 VPN 设备，到达一物多用的成效，既满足了远程互联的要求，而且还能在相当程度上防止黑客的攻击、并能依据时间、IP、内容、Mac 地址、效劳内容、访问内容等多种效劳来限制企业公司内部员工上网时的行为，一举多得。VPN 设备的安装调试、治理、维护都极为简洁，而且都支持远程治理，大多数 VPN 硬件设备甚至可通过中心治理器进展集中式的治理维护。出差人员也可以通过客户端软件与中心的VPN 设备建立 VPN 通道，从而到达访问中心数据等资源的目的。让互联无处不在，极大地便利了企业及政府的数据、语音、视

7、频等方面的应用。五、windows 2003 实现 NAT 地址转换和 VPN 效劳器下面我们介绍一下通过Windows Server 操作系统自带的路由和远程访问功能来实现 NAT 共享上网和VPN 网关的功能。网络拓扑图如下。我们要实现在异地通过 VPN 客户端访问总部局域网各种效劳器资源。第一步：系统前期预备工作效劳器硬件：双网卡，一块接外网，一块接局域网。在windows2003 中VPN 效劳称之为“路由和远程访问”，默认状态已经安装。只需对此效劳进展必要的配置使其生效即可。首先确定是否开启了Windows Firewall/Internet Connection Sharing (

8、ICS)效劳，假设开启了 Windows Firewall/Internet Connection Sharing (ICS)效劳的话，在配置“路由和远程访问”时系统会弹出如下对话框。我们只要去“开头”-“程序”-“治理工具”-“效劳”里面把 Windows Firewall/Internet Connection Sharing (ICS)停顿，并设置启动类型为禁用，如以下图所示：其次步：开启 VPN 和 NAT 效劳然后再依次选择“开头”-“程序”-“治理工具”-“路由和远程访问”，翻开“路由和远程访问”效劳窗口;再在窗口左边右击本地计算机名，选择“配置并启用路由和远程访问”，如以下图所示

9、：在弹出的“路由和远程访问效劳器安装向导”中点下一步，消灭如下对话框。由于我们要实现 NAT 共享上网和 VPN 拨入效劳器的功能，所以我们选择“自定义配置”选项，点下一步;在这里我们选择“VPN 访问”和“NAT 和根本防火墙”选项，点下一步，在弹出的对话框中点“完成”，系统会提示是否启动效劳，点“是”，系统会按刚刚的配置启动路由和远程访问效劳，最终如以下图所示;第三步：配置 NAT 效劳右击“NAT/根本防火墙”选项，选择“增接口”，弹出如下对话框;在这里我们依据自己的网络环境选择连接Internet 的接口，选择“wan”接口， 点“确定”，弹出“网络地址转换-wan 属性”对话框，进展

10、如以下图所示配置;由于我们这个网卡是连接外网的所以选择“公用接口连接到 Internet”和“在此接口上启用 NAT”选项并选择“在此接口上启用根本防火墙”选项，这对效劳器的安全是格外重要的。下面我们点“效劳和端口”设置效劳器允许对外供给PPTP VPN 效劳，在“效劳和端口”界面里点“VPN 网关(PPTP)”，在弹出的“编辑效劳”对话框中进展如以下图设置;点“确定”，回到“效劳和端口”选项卡，确保选中“VPN 网关(PPTP)”，如以下图;第四步：依据需要设置VPN 效劳设置连接数：右击右边树形名目里的端口选项，选择属性，弹出如下对话框;Windows Server 2003 企业版 VP

11、N 效劳默认支持 128 个 PPTP 连接和 128 个 L2TP 连接，由于我们这里使用 PPTP 协议，所以我们双击“WAN 微型端口(PPTP) 选项，在弹出的对话框里依据自己的需要设置所需的连接数;Windows Server 2003 企业版最多支持 30000 个L2TP 端口，16384 个 PPTP 端口。设置 IP 地址：右击右边树形名目里的本地效劳器名，选择“属性”并切换到IP 选项卡(如以下图所示)。这里我们选择“静态地址池”点“添加”，依据需要接入数量任意添加一个地址范围，但是不要和本地IP 地址冲突，如以下图所示;点“确定”回到“IP”选项卡，点“确定”应用设置;

12、第五步：设置远程访问策略，允许指定用户拨入建用户和组：点“开头”-“程序”-“治理工具”-“计算机治理”，弹出“计算机治理”对话框，如以下图;选择“本地用户和组”，右击“用户”-“用户”进展如以下图所示设置;点击“创立”增一个用户;在右边的树形名目中右击“组”-“建组”，添入“组名”，点“添加”在弹出的 “选择用户”对话框中，点“高级”-“马上查找”，选择刚刚建立的“TEST”用户，把用户参加刚刚建立的组，如以下图;设置远程访问策略：在“路由和远程访问”窗口，右击右面树形名目中的“远程访问策略”，选择“建远程访问策略”，在弹出的对话框中点“下一步”，填入便利记忆的“策略名”，点“下一步”，选择

13、“VPN”选项，点“下一步”，点“添加”把刚刚建的组参加到这里，点“下一步”， “下一步”， “下一步”，“完成”，就完成了远程策略的设置，后面假设需要的用户需要 VPN 效劳，只要为该用户建一个帐号，并参加刚刚建的“TEST”组就可以了。第六步：设置动态域名我们把动态域名放在这里来说。由于一般企业接入互联网应当有固定IP， 这样客户机便可随时随地对效劳端进展访问;而假设你是家庭用户承受的 ADSL 宽带接入的话，那一般都是每次上网地址都不一样的动态IP，所以需在 VPN 效劳器上安装动态域名解析软件，才能让客户端在网络中找到效劳端并随时可以拨入。笔者常用的动态域名解析软件为：花生壳，可以在

14、下载，其安装及留意事项请参阅相关资料，这里不再详述六、VPN 客户端配置这一端配置相对简洁得多，只需建立一个到VPN 效劳端的专用连接即可。首先确定客户端也要接入internet 网络，接着笔者同样以windows 2003 客户端为例说明，其它的 win2K 操作系统设置都大同小异：第一步：在桌面“网上邻居”图标点右键选属性，之后双击“建连接向导” 翻开向导窗口后点下一步;接着在“网络连接类型”窗口里点选其次项“连接到我的工作场所的网络”，连续下一步，在如以下图所示网络连接方式窗口里选择其次项“虚拟专用网络连接” 接着为此连接命名后点下一步。其次步：在“VPN 效劳器选择”窗口里，等待我们输

15、入的是VPN 效劳端的固定内容，可以是固定 IP，也可以是由花生壳软件解析出来的动态域名(此域名需要在供给花生壳软件的 网站下载);接着消灭的“可用连接”窗口保持“只是我使用”的默认选项;最终，为便利操作，可以勾选“在桌面上建立快捷方式”选项，单击完成即会先消灭如以下图所示的VPN 连接窗口。输入访问VPN 效劳端合法帐户后的操作就跟 XP 下“远程桌面”功能一样了。连接成功后在右下角状态栏会有图标显示。第三步：连接后的共享操作，只要有过一些局域网使用阅历的朋友应当知道怎么做了吧?一种方法是通过“网上邻居”查找VPN 效劳端共享名目;另一种方法是在扫瞄器里输入 VPN 效劳端固定IP 地址或动

16、态域名也可翻开共享名目资源。这其实已经跟在同一个局域网内的操作没什么区分了，自然也就可以直接点击某个视频节目播放，省去下载文件这一步所花时间了。七、总结到这里我们已经实现了用一台Windows Server 2003 操作系统做一台NAT 和 VPN 远程接入效劳器，实现公司或家庭共享上网和VPN 远程接入访问本地局域网，实现移动办公。但是这台效劳器在安全性和功能上还有肯定缺陷，我将在后面的文章中间续介绍搭建基于L2TP OVER IPSEC 的 VPN 效劳器，以增加数据在网络传输中的安全性。介绍搭建基于Microsoft Internet Security and Acceleration (ISA) Server 2006 防火墙的远程接入效劳器，介绍基于Microsoft Internet Security and Acceleration (ISA) Server 2006 的站点到站点的虚拟专用网络。